ドクターズミーに関する一部海外メディアからの指摘について

2022年3月28日

先般、ドクターズミーの健康相談について画像データが画像URLに付与されるランダムな文字列を直接入力すれば閲覧できる状態になっている旨、海外メディアより指摘を受けました。

本件につきましてユーザーの皆さまに多大なるご迷惑とご心配をおかけする事態になりましたことを心よりお詫び申し上げます。

本件につきまして、ご説明をさせていただきます。

DoctorsMe健康相談においてユーザーが相談時にアップロードした画像が、画像のURLを知っていれば閲覧できる状態になっている旨、外部機関より指摘がありました。
※上記状態になっていたのは画像のみで、投稿内容やメールアドレスなどの情報は含まれません。

画像のURLはタイムスタンプとランダムな文字列を付与したもので、ユーザーが類推することは出来ないものではありますが、一部センシティブな情報が閲覧できてしまうことについての不適切性を外部機関より指摘されました。外部機関がそのURLを取得した方法については、憶測ではありますが画像を保管しているAmazonS3のドメインからクロール、もしくは総当り攻撃を行い取得したものと思われます。

今後は投稿された画像につきまして、投稿したユーザーアカウントでのみ閲覧できる署名と有効期限の付いたURLで表示するような措置を取らせていただきます。

現在、既に上記の内容への修正変更を行っており、すべてのアップロードされた画像が閲覧できない状態になっております。変更が完了するまで、新たに投稿された画像でも表示がされませんので、ご注意ください。